Denic will Webangebote komplett verschlüsseln

Ab dem 15. September sollen die Webseiten der .de-Registrierstelle Denic grundsätzlich nur noch HTTPS-verschlüsselt antworten. Bei unverschlüsselten Anfragen soll automatisch eine Umleitung auf die mittels Transport Layer Security (TLS) gesicherte HTTPS-Variante stattfinden. Dienste, wie etwa die Domainabfrage (Whois), seien schon länger HTTPS-gesichert, elektronische Registrierungsdienste schon von Beginn an.

Denic führt den neu erzwungenen Redirect auf die sichere HTTPS-Variante fürs gesamte Webangebot ein, weil man der Überzeugung ist, dass Datenverkehr im Internet grundsätzlich verschlüsselt werden muss, erklärte die Registrierstelle auf Anfrage von heise online. Man folge damit "frühzeitig" dem Aufruf der Engineering Task Force (IETF) aus dem vergangenen Jahr, dass die Massenüberwachung ein Angriff auf das Internet ist.

Viele große Firmen haben bereits angekündigt, wie etwa Mozilla, ungesichertes HTTP nach und nach komplett zu verbannen. Die IETF konnte sich für den neuen HTTP/2-Standard jedoch nicht darauf einigen, TLS grundsätzlich zu erzwingen.

"Unter anderem" TLS 1.2. Kein SSL

Immer neue Angriffe auf die TLS-Verschlüsselung erinnern beständig, dass TLS kein Allheilmittel ist. Denic setzt nach eigenen Aussagen "unter anderem" den "zur Zeit neuesten TLS-Standard, TLS 1.2", ein, um mindestens einen Teil der Angriffsszenarien abzuwehren. Auf den TLS-Vorläufer SSL will Denic nach den Sicherheitsdefiziten im Gefolge von Poodle komplett verzichten.

Der Einsatz von HTTP Strict Transport Security (HSTS) ist allerdings erst im nächsten Schritt geplant. HSTS kann kompatible Webbrowser beim Besuch einer Internetseite mit HSTS-Unterstützung dazu überreden, verschlüsselt über HTTPS zu kommunizieren. "Sobald Denic die Umstellung am kommenden Dienstag durchgeführt und den HTTPS- bzw. HTTP-Verkehr beobachtet hat", will die Registrierstelle mit dem inzwischen recht gebräuchlichen Mechanismus nachziehen, erklärte ein Denic-Sprecher gegenüber heise online. (des)